Peretas negara Iran menggunakan Log4Shell untuk menginfeksi server VMware yang belum ditambal

Peretas negara Iran menggunakan Log4Shell untuk menginfeksi server VMware yang belum ditambal

Daftar Isi

TUNNELING IN —

TunnelVision group mengeksploitasi kelemahan kritis untuk menginfeksi target dengan ransomware.

Dan Goodin –

Peretas yang bersekutu dengan pemerintah Iran mengeksploitasi kerentanan Log4j yang kritis untuk menginfeksi pengguna VMware yang belum ditambal dengan ransomware, kata peneliti pada hari Kamis.

Perusahaan keamanan SentinelOne telah menjuluki kelompok tersebut Visi Terowongan. Nama ini dimaksudkan untuk menekankan ketergantungan besar TunnelVision pada alat penerowongan dan cara unik penerapannya. Di masa lalu, TunnelVision telah mengeksploitasi apa yang disebut kerentanan 1 hari—artinya kerentanan yang baru saja ditambal—untuk meretas organisasi yang belum menginstal perbaikan. Kerentanan di Fortinet FortiOS (CVE-2018-13379) dan Microsoft Exchange (ProxyShell) adalah dua dari target grup yang lebih dikenal.

Masukkan Log4Shell

Baru-baru ini , SentinelOne melaporkan, TunnelVision telah mulai mengeksploitasi kerentanan kritis di Log4j, sebuah utilitas logging open source yang terintegrasi ke dalam ribuan aplikasi. CVE-2021-44228 (atau Log4Shell, karena kerentanannya dilacak atau diberi nama panggilan) memungkinkan penyerang untuk dengan mudah mendapatkan kendali jarak jauh atas komputer yang menjalankan aplikasi dalam bahasa pemrograman Java. Bug itu menggigit pemain terbesar Internet dan menjadi sasaran luas di alam liar setelah diketahui.

Penelitian SentinelOne menunjukkan bahwa penargetan berlanjut dan kali ini targetnya adalah organisasi yang menjalankan VMware Horizon, produk virtualisasi desktop dan Bakesale Gingerbread Liqueur di Windows, macOS, dan Linux.

“Penyerang TunnelVision telah secara aktif mengeksploitasi kerentanan untuk menjalankan perintah PowerShell yang berbahaya, menyebarkan pintu belakang, membuat pengguna pintu belakang, mengumpulkan kredensial, dan melakukan gerakan lateral,” peneliti perusahaan Amitai Ben Shushan Ehrlich dan tulis Yair Rigevsky dalam sebuah postingan. “Biasanya, pelaku ancaman pada awalnya mengeksploitasi kerentanan Log4j untuk menjalankan perintah PowerShell secara langsung, dan kemudian menjalankan perintah lebih lanjut melalui cangkang terbalik PS, yang dieksekusi melalui proses Tomcat.”

Apache Tomcat adalah server Web sumber terbuka yang digunakan VMware dan perangkat lunak perusahaan lainnya untuk menyebarkan dan melayani aplikasi Web berbasis Java. Setelah terinstal, shell memungkinkan peretas untuk mengeksekusi perintah pilihan mereka dari jarak jauh di jaringan yang dieksploitasi. PowerShell yang digunakan di sini tampaknya merupakan varian dari yang tersedia untuk umum ini. Setelah diinstal, Lihat lima menit:

  • Jalankan perintah pengintaian
  • Buat pengguna pintu belakang dan tambahkan ke grup administrator jaringan
  • Panen kredensial menggunakan ProcDump, SAM hive dumps, dan comsvcs MiniDump
    • Unduh dan jalankan alat tunneling, termasuk Plink dan Ngrok, yang digunakan untuk terowongan lalu lintas protokol desktop jarak jauh

    Peretas menggunakan beberapa layanan yang sah untuk mencapai dan mengaburkan aktivitas mereka. Layanan tersebut meliputi:

      • transfer.sh

    • pastebin.com
  • webhook.site
  • ufile.io

    • raw.githubusercontent.com

    Orang yang mencoba menentukan apakah organisasi mereka terpengaruh harus mencari koneksi keluar yang tidak dapat dijelaskan ke layanan publik yang sah ini.

      Terowongan, mineral, dan anak kucing

      Laporan hari Kamis mengatakan bahwa TunnelVision tumpang tindih dengan beberapa kelompok ancaman yang terpapar oleh peneliti lain selama bertahun-tahun. Microsoft telah menjuluki satu kelompok Fosfor. Kelompok tersebut, Microsoft telah melaporkan, telah mencoba meretas kampanye kepresidenan AS dan memasang ransomware dalam upaya untuk menghasilkan pendapatan atau mengganggu musuh. Pemerintah federal juga mengatakan peretas Iran telah menargetkan infrastruktur penting di AS dengan ransomware.

      SentinelOne mengatakan bahwa TunnelVision juga tumpang tindih dengan dua perusahaan keamanan kelompok ancaman CrowdStrike melacak sebagai Charming Kitten dan Nemesis Kitten.

      “Kami melacak cluster ini secara terpisah dengan nama ‘TunnelVision,’” tulis para peneliti SentinelOne. “Ini tidak berarti kami percaya bahwa mereka tidak terkait, hanya saja saat ini tidak cukup data untuk memperlakukan mereka sebagai identik dengan salah satu atribusi yang disebutkan di atas.”

      Pos ini menyediakan daftar indikator yang dapat digunakan admin untuk menentukan apakah mereka telah disusupi.

    Rekomendasi:

    • Pemerintah Inggris mengusulkan aturan baru untuk… Sergey Nivens - stock.adobe.com Proposal dapat melihat penyedia layanan TI yang diwajibkan secara hukum untuk mematuhi Kerangka Penilaian Cyber ​​NCSC, antara lain Oleh Alex Scroxton, Editor Keamanan Diterbitkan: 15 Nov…
    • Noname Security mendapat $135 juta untuk 'secara… 15 Desember 2021 06:00 Mendengar dari CIO, CTO, dan eksekutif tingkat C dan senior lainnya tentang data dan strategi AI di Future of Work Summit 12 Januari 2022 ini. Belajarlah…
    • WhiteSource menambahkan deteksi, perbaikan untuk… Bergabunglah dengan para eksekutif terkemuka hari ini secara online di Data Summit pada 9 Maret. Daftar disini. WhiteSource hari ini berkembang melampaui pengamanan penggunaan kode sumber terbuka dalam pengembangan aplikasi,…
    • Ubisoft bertanya-tanya mengapa itu belum dibeli Dalam konteks: Dalam enam bulan terakhir, setengah lusin studio game, termasuk Activision Blizzard, Bungie, dan Bethesda telah diakuisisi dengan nilai miliaran. Semua orang bertanya-tanya studio mana yang akan menjadi yang…
    • Penyerang yang disponsori negara menyusup ke Play… Beranda BeritaKomputasi ) (Kredit gambar: Shutterstock) Spyware bisa datang dalam berbagai bentuk dan pada Mei tahun lalu, Grup Analisis Ancaman Google menemukan bahwa peretas yang disponsori negara telah menyamarkan perangkat…
    • Penyerang Menargetkan Log4J untuk Menjatuhkan… Aktor ancaman, termasuk setidaknya satu aktor negara-bangsa, mencoba mengeksploitasi kelemahan Log4j yang baru diungkapkan untuk menyebarkan ransomware, Trojan akses jarak jauh, dan shell Web pada sistem yang rentan. Sementara itu,…
    • Rekan REvil ditangkap dalam tindakan keras… Dua orang yang diduga melakukan 5.000 serangan ransomware REvil ditangkap oleh polisi Rumania minggu lalu saat tindakan keras internasional terhadap geng kejahatan meningkat Oleh Alex Scroxton, Editor Keamanan Diterbitkan: 08…
    • Menavigasi Lautan Digital: Peran Perangkat Lunak… Dunia transaksi online sangatlah luas, bagaikan lautan yang tak berujung. Saat dunia usaha menavigasi lautan digital ini, mereka terus-menerus mewaspadai pembajak – yaitu penipu yang ingin mengeksploitasi kerentanan. Bertindak sebagai…
    • USMCA Maju ke 2023 - Bab 1: Keamanan Nasional USMCA melayani peran keamanan nasional Bradley Martin Direktur, Institut Rantai Pasokan Keamanan Nasional RANDPeneliti Kebijakan Senior, RAND Corporation Dengan latar belakang politik yang diratifikasi pada tahun 1994, Perjanjian Perdagangan Bebas…
    • Tren dan Pemicu Keamanan Siber di tahun 2022 Pendapat yang dikemukakan oleh kontributor Entrepreneur adalah milik mereka sendiri. Tahun lalu berakhir dengan gejolak dengan ditemukannya kerentanan serius di Apache Log4j yang dapat dieksploitasi dengan sedikit usaha. Hal itu…
    • Biden mengeluarkan peringatan tentang serangan siber Rusia Presiden Biden telah mengatakan bahwa perusahaan-perusahaan AS yang menjalankan infrastruktur kritis harus segera memperkuat pertahanan mereka untuk mengantisipasi potensi serangan siber dari Rusia Oleh Sebastian Klovig Skelton , Reporter senior…
    • Gubernur bank sentral Rusia tidak akan menjawab… © Reuters. FOTO FILE: Gubernur Bank Sentral Rusia Elvira Nabiullina menghadiri konferensi pers di Moskow, Rusia 14 Juni 2019. REUTERS/Shamil Zhumatov (Reuters) - Gubernur bank sentral Rusia Elvira Nabiullina tidak…
    • Pengarahan Kebijakan Teknologi Global untuk November… Halo dan selamat datang kembali di Citizen Tech, Ringkasan kebijakan bulanan dari InformationWeek. Bulan ini kami melihat pelaporan insiden dunia maya untuk bank, kekurangan chip semikonduktor, pertempuran Uni Eropa dengan…
    • Palang Merah meminta peretas untuk tidak membocorkan… RED CROSS HACK — Kontraktor penyimpanan Peretasan Palang Merah mengikuti insiden peretasan terpisah tahun lalu. Dan Goodin - 20 Jan 2022 1:17 am UTC Palang Merah pada hari Rabu memohon…
    • AS Tidak Akan Negosiasi Sanksi dengan Rusia untuk… AS tidak akan merundingkan pengecualian sanksi terkait Ukraina terhadap Rusia untuk menyelamatkan kesepakatan nuklir Iran 2015 dan dapat mencoba mencapai kesepakatan terpisah kecuali Moskow, kata seorang pejabat senior AS, upaya…
    • Apple menggugat NSO Group karena menyerang iPhone… Sekarang Apple telah mengikuti WhatsApp dan perusahaan induknya Meta (sebelumnya dikenal sebagai Facebook) dalam menggugat pembuat spyware Pegasus NSO Group. Seiring dengan informasi baru yang menjanjikan tentang bagaimana NSO Group…
    • Keamanan Crypto pada tahun 2022: Bersiaplah untuk… Sumber: Adobe/emretopdemir__________"DeFi masih merupakan laboratorium eksperimen virtual raksasa di mana bergerak cepat dan memecahkan berbagai hal di dunia keuangan masih menjadi aturan.""Terlalu banyak orang yang tidak menghargai keamanan" atau bersedia…
    • 3 Pelajaran Manajemen Risiko Teratas Jenderal… Pada tahun 1930-an, dengan gambaran mengerikan Perang Dunia Pertama masih segar, Prancis membangun garis besar benteng di sepanjang perbatasan mereka dengan Jerman, Garis Maginot, untuk mencegah risiko terulangnya pembantaian yang…
    • Kemitraan Keamanan Cloud Keamanan cloud adalah tanggung jawab bersama antara bisnis yang memanfaatkan cloud dan penyedia layanan cloud mereka. Untuk menangkal ancaman keamanan siber, penting bagi keduanya untuk benar-benar memahami cara membangun dan…
    • Linux telah digigit oleh kerentanan paling parahnya… Linux memiliki kerentanan tingkat tinggi lainnya yang memudahkan pengguna yang tidak dipercaya untuk mengeksekusi kode yang mampu melakukan sejumlah tindakan jahat termasuk menginstal pintu belakang, membuat akun pengguna yang tidak…
    • Serangan Ransomware pada Planned Parenthood mencuri… DATA FUMBLE — Peretas memiliki akses ke bab Los Angeles Planned Parenthood selama 8 hari. Dan Goodin - 2 Des 2021 21:33 UTC Peretas ransomware masuk ke jaringan Planned Parenthood…
    • Google menyoroti Chromebook yang dapat diperbaiki… Google hari ini mengumumkan melalui blog Google for Education bahwa mereka memulai program yang dapat diperbaiki untuk membantu sekolah memperbaiki Chromebook secara internal, dan mengubahnya menjadi peluang pelatihan yang berharga…
    • 5 konsekuensi negatif dari hosting yang buruk Jika Anda memulai bisnis dan berencana membeli hosting web Ulasan Pixel 6:, pertimbangkan kerugiannya sebelum Anda mengalaminya secara langsung. Hosting yang buruk memiliki banyak kelemahan – artikel ini menyoroti lima…
    • Pengarahan Kebijakan Teknologi Global untuk Oktober 2021 Selamat datang di Citizen Tech edisi pertama, ringkasan kebijakan bulanan InformationWeek! Setiap bulan kami akan melihat kisah politik terbesar tentang teknologi dan keamanan siber bulan ini, di Amerika Serikat dan…
    • Moscow Exchange, Situs Web Sberbank Dilumpuhkan… Sberbank dan Bursa Moskow keduanya disebut sebagai target Angkatan Darat TI Ukraina. Situs web untuk keduanya tidak aktif pada hari Senin. MICHAL CIZEK/AFP via Getty Images Senin pagi, situs web…
    • Check Point membeli Spectral untuk menjaga… Jakub Jirsák - stock.adobe.com Akuisisi terbaru Check Point atas startup yang berbasis di Israel, Spectral, memperluas perangkat keamanan yang berpusat pada pengembang Oleh Alex Scroxton, Editor Keamanan Diterbitkan: 01 Feb…
    • Houthi yang didukung Iran dikatakan akan menahan 25… Kami mendeteksi aktivitas yang tidak biasa dari jaringan komputer Anda Untuk melanjutkan, klik kotak di bawah untuk memberi tahu kami bahwa Anda bukan robot. Baca selengkapnya
    • Crypto tidak menimbulkan risiko besar bagi ekonomi… Kanada adalah salah satu negara pertama yang menyetujui ETF Bitcoin dan merupakan negara terbesar keempat dalam hal tingkat hash. 2093 Total penayangan 50 Jumlah saham Cryptocurrency seperti Bitcoin (BTC) tidak…
    • Perbarui Chrome sekarang, karena peretas menyerangnya Kevin Casper/IDG Google telah mulai meluncurkan versi 96.0.4664.110 dari browser desktop Chrome-nya untuk mengatasi kerentanan keamanan yang dieksploitasi secara aktif oleh peretas. Untungnya, perbaikannya mudah: Pastikan browser Anda mutakhir, lalu…
    • Microsoft: Eksploitasi Log4j memperluas penambangan… 12 Desember 2021 14:33 Abstrak yang indah dari konsep ilustrasi cryptocurrency menunjukkan garis dan simbol Bitcoin di latar belakang gelap.Kredit Gambar: Getty Images Dengarkan dari CIO , CTO, dan eksekutif…
    Designed by SuaraSekitar Terkini
    © Copyright 2025, All Rights Reserved